Social Media & Marketing im Unternehmen mit der neuen DSGVO

Und plötzlich ist er da, der 25. Mai 2018, und keiner weiß so richtig wie er mit der neuen Datenschutzgrundverordnung (DSGVO) umgehen soll. Kann Facebook, Twitter und Co überhaupt noch verwendet werden, ohne dass millionenschwere Strafen drohen? Wir haben uns schlau gemacht und die wichtigsten Fakten für Sie zusammengetragen.

Was ist die DSGVO überhaupt?

Datenschutzgrundverordnung mit Vorhängeschloss
Quelle: Merkushev Vasiliy/Shutterstock.com

Die neue Datenschutzgrundverordnung (EU-DSGVO) ist eine neue Verordnung der EU, die ab dem 25. Mai 2018 in allen Mitgliedsstaaten der EU gilt. Sie regelt das Datenschutzrecht, also den Umgang mit personenbezogenen Daten für Unternehmen. Die bisherigen Regelungen des Bundesdatenschutzgesetztes (BDSG) gelten dann nicht mehr, oder werden an die neue Verordnung angepasst.

Ziel der Datenschutzgrundverordnung ist eine Vereinheitlichung des Datenschutzrechts innerhalb der EU, da diese bisher den einzelnen Mitgliedsstaaten selbst überlassen waren und daher zum Teil sehr unterschiedliche Standards galten. Die Verordnung gilt auf für Unternehmen mit Sitz außerhalb der EU, die innerhalb der EU agieren, und/ oder Daten von Personen innerhalb der EU verarbeiten.

Das neue Datenschutzrecht soll außerdem datenschutzfreundlicher für die Nutzer werden und dem Bürger die Macht über seine persönlichen Daten zurückgeben. Durch die hohen Bußgelder soll sichergestellt werden, dass sich auch Soziale Netzwerke und Cloud Dienste aus den USA an die Verordnung halten.

Warum kommt die DSGVO so plötzlich?

Tatsächlich gilt die Datenschutzverordnung schon seit dem 25. Mai 2016! Die EU-Mitgliedsstaaten müssen die Verordnung aber erst seit dem 25. Mai 2018 umsetzen. Dies hängt unter anderem damit zusammen, dass Verordnungen im Gegensatz zu Richtlinien direkt gelten. In einigen Bereichen haben die einzelnen Mitgliedsstaaten aber auch Gestaltungsspielräume, sodass es keine komplett einheitliche Rechtslage geben wird. Wichtig für Webseitenbetreiber: Auch die Regeln des Telemediengesetzes werden durch die DSGVO verändert.

Für wen gilt die DSGVO denn jetzt?

Alle Unternehmen, die Ihren Sitz in der EU haben, sind von der neuen Verordnung betroffen! Unternehmen mit Sitz außerhalb der EU müssen sich nur an die Regelungen halten, wenn Sie eine Niederlassung in der EU haben und / oder personenbezogene Daten von EU-Bürgern verarbeiten.

Was sind eigentlich personenbezogene Daten?

Dabei handelt es sich um alle Informationen, die sich auf eine identifizierbare oder identifizierte Person beziehen. Eine Person ist dann “identifizierbar”, wenn durch die Zuordnung zu einer Kennung die Möglichkeit besteht diese Person zu identifizieren. Dazu gehören u.a.:

  • Name
  • Geburtsdatum
  • Adresse
  • Email-Adresse
  • Telefonnummer
  • Standortdaten
  • IP-Adressen
  • Cookies
  • Kontodaten
  • KFZ-Kennzeichen

 

Was passiert bei Verstößen?

Wie bereits erwähnt liegen die Strafen bei Verstößen gegen die DSGVO deutlich über den bisherigen Strafen im Bundesdatenschutzgesetz. Wo bisher Bußgelder zwischen 50.000 € und 300.000 € bei sehr schweren Verstößen fällig waren, sollen jetzt Strafen von bis zu 20 Millionen € oder 4% vom weltweiten Vorjahresumsatz auch große Konzerne empfindlich treffen.

Noch nicht ganz geklärt ist jedoch die Zuständigkeit der Behörden. Um Verwirrungen zu vermeiden, wird ein sogenanntes “One-Stop-Shop” Prinzip im Artikel 56 Abs. 1 EU-DSGVO vorliegen. Bei grenzüberschreitendem Datenverkehr soll dann nur die Aufsichtsbehörde am Hauptsitz des Unternehmens bei Verstößen zuständig sein. Datenschutzverstöße können nach der DSGVO auch abgemahnt werden, es drohen also Gerichtsverfahren und Abmahnungen.

Welche Grundsätze gelten denn nun?

Grundsätze in Aktenordnern der DSGVO
Quelle: photoschmidt/Shutterstock.com

Verbot mit Erlaubnisvorbehalt
Erhebung, Verarbeitung und Nutzen von personenbezogenen Daten ist grundsätzlich verboten. Ausnahmen sind nur mit Erlaubnis möglich (z.B. Einwilligung der Person, Gesetz).

Datensparsamkeit
Es dürfen nur so viele Daten verarbeitet werden wie tatsächlich benötigt.

Datenrichtigkeit
Daten müssen inhaltlich und sachlich korrekt sein.

Zweckbindung
Daten dürfen nur zu dem Zweck verarbeitet werden, zu dem Sie erhoben wurden.

Datensicherheit
Der zu gewährleistende Schutz orientiert sich an der Schutzbedürftigkeit der personenbezogenen Daten und orientiert sich am Stand der Technik, den Umständen, den Kosten zur Implementierung, etc. .

Recht auf Löschung
Nutzer kann die Löschung seiner Daten verlangen, wenn er die Erlaubnis widerruft oder der Zweck der Nutzung weggefallen ist.

Recht auf Portabilität
Nutzer kann verlangen, dass seine personenbezogenen Daten an andere Verantwortliche weitergegeben werden.

Rechenschaftspflicht
Nutzer kann Auskunft darüber verlangen, ob alle Datenschutzrichtlinien eingehalten werden.

Brauche ich einen Datenschutzbeauftragten?

Einen Datenschutzbeauftragten benötigt Ihr Unternehmen in den folgenden Fällen:

– Wenn Daten von besonderen Kategorien nach Artikel 9 der Datenschutzgrundverordnung verarbeitet werden

– Wenn Ihr Kerngeschäft die regelmäßige und systematische Überwachung von betroffenen Personen betrifft.

– Wenn sich mehr als 9 Personen in Ihrem Unternehmen mit der automatischen Verarbeitung von personenbezogenen Daten befassen.

Der Datenschutzbeauftragte führt ein Verarbeitungsverzeichnis der personenbezogenen Daten und wacht über die Einhaltung der Datenschutzgrundsätze. Außerdem ist er Ansprechpartner für Kunden und die Datenschutzbehörde bei Fragen zum Umgang mit personenbezogenen Daten. Wenn Ihr Unternehmen nicht dazu verpflichtet ist einen Datenschutzbeauftragten zu beschäftigen, können Sie diesen natürlich auch freiwillig einstellen.

Was muss ich bei der Einwilligungserklärung beachten?

Form: Die Einwilligungserklärung ist formfrei und kann mündlich, schriftlich oder elektronisch erfolgen.

Freiwilligkeit: Die Einwilligung darf nicht Vertragsbedingung sein, wenn die Einwilligung nicht zur Vertragserfüllung erforderlich ist.

Inhalt: Einwilligungen müssen immer zweckgebunden eingeholt werden und die Verarbeitungszwecke auflisten.

Dokumentation: Es muss nachweisbar sein, dass die Einwilligung erteilt wurde.

Widerruf: Der Nutzer kann seine Einwilligung jederzeit widerrufen. Der Widerruf muss so einfach wie die Einwilligung sein.

Bisher eingeholte Einwilligungen sind weiterhin gültig, vorausgesetzt sie entsprechen den bisherigen Anforderungen des BDSG und TGM.

Was ist mit Cookies?

Seit 2009 verpflichtet die EU Ihre Mitgliedsländer dazu die Einwilligung der Nutzer einzuholen, bevor Third-Party-Cookies auf den Geräten der Nutzer platziert werden dürfen. Nach der neuen Verordnung müssen Cookie-Banner (Mit der Nutzung dieser Seite stimmen Sie der Nutzung von Cookies zu, können aber auch widersprechen) implementiert werden. Der Nutzer muss seine ausdrückliche Einwilligung geben. Dies soll zukünftig mit Hilfe der Browsereinstellung oder der aktiven Abfrage auf der Webseite möglich sein.

Welchen Einfluss hat die DSGVO auf meine Social Plugins?

Social Media und die DSGVO
Quelle: Oleksiy Mark/Shutterstock.com

Social Plugins wie der Gefällt-mir-Button von Facebook führen für den Nutzer unerkannt zu einem Datentransfer seiner Daten (z.B. seine IP-Adresse…) zu den Servern des sozialen Netzwerks. Dabei ist für den Nutzer schwer zu erkennen, welche Daten übertragen werden, noch was damit passiert.

Webseitenbetreiber haben daher gegenüber allen Nutzern eine Aufklärungs- und Einwilligungspflicht. Der Nutzer muss also bereits vor der Datenerhebung über die Erhebung informiert werden und dieser zustimmen.

Datenübertragung ohne Einwilligung kann erfolgen, wenn ein “Berechtigtes Interesse” besteht. Social Plugins zu Direktmarketing Zwecken fallen nicht unter diesen Punkt, da die Weitergabe der personenbezogenen Daten an Soziale Netzwerke nur mit Einwilligung des Nutzers datenkonform ist. Dass diese Einwilligung zwingend erforderlich ist, schließt das “berechtigte Interesse” aus, zumal darunter immer das unternehmenseigene Interesse zu verstehen ist und nicht das der Sozialen Netzwerke.

Als Lösung sind die folgenden zwei Möglichkeiten denkbar:

  1. Der Button wird erst durch den Nutzer aktiviert und er stimmt so der Datenübertragung zu (Zwei-Klick-Lösung)
  2. Schutz vor unbemerkter Datenübermittlung durch individuell gestaltete HTML-Links der Seitenbetreiber (Shariff-Button)

 

Was passiert mit meiner Facebook-Page?

Gemäß § 2 Nr. 1 TMG macht das Betreiben einer Facebook-Seite eines Unternehmens den Unternehmer zum Diensteanbieter. Daraus ergeben sich unter anderem die Impressumspflicht (§5 TMG) sowie die Plicht, die Nutzer über datenschutzrechtliche Vorgänge zu informieren (§§ 13 I iVm. § 13 III S. 1, VI S. 2; 15 III S. 2 TMG). Dafür gibt es zwei Möglichkeiten:

  1. Die Facebook-Seite ist mit den Datenschutzrichtlinien auf der Website des Betreibers verlinkt.
  2. Der Betreiber führt die Datenschutzrichtlinien separat auf seiner Facebook-Seite auf.

 

Was ist mit Newslettern?

Wer Newsletter versenden möchte, muss ebenfalls die Einwilligung der Nutzer einholen. Am besten Sie fragen auf dem Newsletter-Formular nur nach der Email-Adresse und lassen alle weiteren Informationen optional, so dass der Nutzer selbst entscheiden kann, welche Daten er weitergeben möchte.

Außerdem muss zukünftig genau dargestellt werden, wofür der Nutzer seine Zustimmung gibt:

  • Um was für einen Newsletter handelt es sich eigentlich?
  • Welche Themen werden behandelt?
  • Wie häufig wird der Newsletter verschickt?

 

Impressum & Abmeldelink müssen weiterhin in jedem versandten Newsletter angegeben werden.

Keine Panik!

Obwohl die neue Datenschutzgesamtverordnung sehr aufwändig klingt, ist sie mit der richtigen Vorbereitung und etwas Recherche doch nicht so kompliziert. Um sicherzustellen, dass Sie nichts vergessen haben wir hier noch eine kleine Checkliste für Sie:

  1. Überlegen Sie sich, wo Sie die Daten Ihrer Nutzer erheben
  2. Legen Sie ein Verarbeitungsverzeichnis an
  3. Überarbeiten Sie Ihre Datenschutzerklärung
  4. Überarbeiten Sie Ihre Online-Formulare
  5. Weisen Sie auf Cookies hin
  6. Überprüfen Sie Ihre Newsletter
  7. Überprüfen Sie Ihre Social Media Seiten

 

Damit wären die wichtigsten Punkte auch bereits abgehakt. Wer auf Nummer sicher gehen möchte, kann natürlich auch die Hilfe eines Anwalts oder Datenschutz-Spezialisten in Anspruch nehmen, die Ihnen helfen Ihr Unternehmen DSGVO-konform zu machen.

Eine weitere Option, welche wahrscheinlich etwas kostengünstiger ist, sind digitale Produkte, welche Sie dabei unterstützen die DSGVO einzuhalten. Eines der vielen Produkte auf dem Markt ist zum Beispiel der Schritt-für-Schritt Generator für die Datenschutzdokumentation nach DSGVO von DeinData. Diese Software erfasst über ein Fragesystem alles, was Sie in Ihrem Unternehmen verwenden und demnach dokumentieren müssen, und enthält: 

  • Verzeichnis von Verarbeitungstätigkeiten mit über 40 vorausgefüllten Tätigkeiten 
  • Dokumentation der technischen und organisatorischen Maßnahmen 
  • Risikoanalyse  
  • Vorausgefülltes Datenschutzkonzept 
  • Erfassung von Auftragsdatenverarbeitung 
  • Viele intuitive Vorlagen, wie beispielsweise: Bestellung DSB, Verpflichtung auf den Datenschutz, AV-Vertrag​, Auskunfts-Muster für Betroffenenanfragen, Muster für Datenschutzhinweise nach Artikel 13 & 14 DSGVO 

Da viele Vorlagen bereits ausgefüllt sind und alle Schritte ausführlich erklärt werden, ist diese Software auch für Neulinge im Datenschutz geeignet. So können Sie ohne großen finanziellen und zeitlichen Aufwand sicherstellen, dass Sie Ihrer Dokumentationspflicht nach der neuen DSGVO auch wirklich nachkommen. 

Ob selber machen, Anwalt einschalten oder Software benutzen – egal für welche Methode Sie sich entscheiden, wichtig ist, dass Sie sich mit dem Thema auseinandersetzten, denn die Strafen sind hoch und leicht vermeidbar! 

Quellen

https://www.e-recht24.de/artikel/datenschutz/10747-facebook-fanpages-datenschutz.html
https://www.e-recht24.de/datenschutzgrundverordnung.html
https://social-media-online-marketing.de/social-media-datenschutz/
https://drschwenke.de/socialhub-mag-datenschutzreform-im-onlinemarketing-social-media/

Kommentar hinzufügen

Ich stimme zu.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.